RPM vs. kompilace
Milan Kerslager
milan.kerslager na spsselib.hiedu.cz
Středa Říjen 17 10:11:52 CEST 2001
On Wed, 17 Oct 2001, Oto Buchta wrote:
> > > Na druhou stranu ja mam treba radeji kernel staticky nez distribucni
> > > modularni - jsem paranoidni a bojim se backdooru v kernelu..)
> >
> > Tedy ne ze by neslo vlozit novy modul i do jadra, co neni modularni.
>
> A od ceho je:
> cd /usr/src/linux
> make xconfig
> Loadable module support (click)
> Enable loadable module support - N
Ten kdo muze zavest modul, je root. Kdyz uz je nekdo root, muze udelat
cokoliv. Pokud se chces chranit, musis resit priciny a ne se zabyvat tim,
co te uz v podstate nezachrani (rika se tomu take security by obscurity).
Provest modifikaci jadra za behu lze take a staci k tomu opet opravneni
roota. Z toho vyplyva, ze je potreba zabranit tomu, aby se rootem nekdo
stal. Dodatecne prekazky mohou zpomalit cileny postup utocnika, ale
nezvysi bezpecnost (v tu chvili totiz muze utocnik provest cokoliv).
Pokud totiz nekdo najde diru, vyda se nesnadnejsi cestou, tj. pokud
nepujde zavest modul, pouzije jiny postup nebo jinou cestu. Neexistence
modularniho jadra ho nezastavi.
--
Milan Kerslager
E-mail: milan.kerslager na pslib.cz
WWW: http://www.pslib.cz/~kerslage/
Další informace o konferenci Linux